GDPR - ARTIKKEL 35 - MÕJUHINNANG (AIPD)

Teie mõjuhinnang vastavalt
CNIL metoodikale

GDPR nõuab andmekaitsealast mõjuhinnangut igale töötlemistoimingule, mis võib põhjustada kõrge riski isikute õigustele ja vabadustele. SYAGA DPIA-Express struktureerib ja dokumenteerib teie mõjuhinnangu vastavalt artikli 35 metoodikale ja EAKN suunistele, ilma improviseerimise ja žargoonita.

35
GDPR artikkel (mõjuhinnang)
9
EAKN kriteeriumi (WP248 rev.01)
3
Kohustuse juhtumit (art. 35.3)
4
Metoodika osa (art. 35.7 a-d)

Kohustus

Selgitada välja, kas teie töötlemistoiming vajab mõjuhinnangut, ja seejärel viia see läbi reeglipäraselt

GDPR artikkel 35 nõuab mõjuhinnangut

Iga töötlemistoiming, mis võib põhjustada kõrge riski füüsiliste isikute õigustele ja vabadustele, peab enne rakendamist läbima andmekaitsealase mõjuhinnangu (GDPR, art. 35).

📋

CNIL reegel „2 kriteeriumi 9-st"

EAKN (endine G29, suunised WP248 rev.01) on määratlenud 9 kõrge riski kriteeriumi. Niipea kui töötlemistoiming vastab vähemalt kahele neist kriteeriumidest, tuleb põhimõtteliselt läbi viia mõjuhinnang: üks valesti tuvastatud element ja toimik on puudulik.

🔍

CNIL nimekirjad, mida tuleb võrrelda artikkel artikli haaval

CNIL avaldab nimekirju töötlemistoimingutest, mille puhul mõjuhinnang on nõutav või ei ole nõutav. Teie töötlemistoimingu täpse asukoha kindlaksmääramine nõuab põhjalikku lugemist, mitte üldist muljet.

Ilma metoodikata on risk kahekordne

Mõjuhinnangu liiga kiire läbiviimine muudab selle järelevalveasutuse ees puudulikuks; selle läbiviimata jätmine, kui see on nõutav, seab organisatsiooni artikli 35 rikkumise ohtu. CNIL metoodika struktureerib selle valiku ja dokumenteerib selle.

Metoodika: DPIA-Express

GDPR artikli 35.7 poolt nõutav struktuur, rakendatud teie töötlemistoimingule, koos põhjendatud järeldusega igas etapis

1
Kohustuse kindlakstegemine

Kas teie töötlemistoiming tõesti vajab mõjuhinnangut?

Analüüs artikli 35.3 kolme juhtumi, EAKN 9 kriteeriumi maatriksi (WP248 rev.01) ja CNIL nõutavate/mittenõutavate töötlemistoimingute nimekirjade alusel. Põhjendatud järeldus, olenemata sellest, kas mõjuhinnang osutub lõpuks kohustuslikuks või mitte.

2
Art. 35.7.a

Töötlemistoimingu süstemaatiline kirjeldus

Eesmärgid, andmete ja puudutatud isikute kategooriad, vastuvõtjad, säilitamise tähtajad: artikli 35.7.a poolt nõutav täielik kaardistus, kooskõlas teie töötlemistoimingute registriga (art. 30).

3
Art. 35.7.b

Vajalikkus ja proportsionaalsus

Kontrollimine, kas iga kogutud andmeühik on eesmärgi saavutamiseks vajalik, kas õiguslik alus (art. 6) on iga töötlemistoimingu jaoks tuvastatud ning kas minimeerimispõhimõte (art. 5.1.c) on täidetud.

4
Art. 35.7.c

Isikutele avalduvate riskide hindamine

Iga tuvastatud riski kohta: raskusaste, tõenäosus, juba kehtestatud meetmed, jääkrisk, esitatud tabelina, mida teie juhtkond või andmekaitsespetsialist saab kasutada.

5
Art. 35.7.d ja 5.2

Meetmed ja dokumenteeritud järeldus

Kavandatud tehnilised ja korralduslikud meetmed (art. 32), põhjendatud järeldus ja vastutuse põhimõtte (art. 5.2) kohane dokumenteeritud põhjendus, mida saab kasutada CNIL kontrolli korral.

Mida te saate

Struktureeritud, viidatud ja aus dokument selle kohta, mis jääb teie juristi või andmekaitsespetsialisti kinnitada

📝

Struktureeritud mõjuhinnangu raport

Täielik dokument artikli 35.7 (a-d) järgi, koos põhjendatud järeldusega.

  • Töötlemistoimingu süstemaatiline kirjeldus
  • Vajalikkuse ja proportsionaalsuse analüüs
  • Riskide tabel (raskusaste/tõenäosus/meetmed)
  • Järeldus ja dokumenteeritud põhjendus (art. 5.2)

Kindlakstegemise maatriks

Eelnev analüüs, mis otsustab, kas teie töötlemistoiming kuulub kohustuse kohaldamisalasse.

  • Artikli 35.3 kolm juhtumit
  • EAKN 9 kriteeriumi (WP248 rev.01)
  • Võrdlus CNIL nimekirjadega
  • Põhjendatud ja viidatud järeldus
📁

Kooskõla registriga (art. 30)

Mõjuhinnang tugineb samale alusele mis teie töötlemistoimingute register.

  • Eesmärgid ja õiguslikud alused
  • Andmete ja isikute kategooriad
  • Vastuvõtjad ja volitatud töötlejad
  • Säilitamise tähtajad kategooria kaupa
🚩

Punktid teie juristi/DPO kinnitamiseks

Iga ebaselge punkt on selgelt märgistatud, mitte kunagi teie eest otsustatud.

  • Vastutava töötleja / volitatud töötleja määratlus
  • Õiguslikud alused eesmärkide kaupa
  • Tuvastatud EL-välised andmeedastused
  • Andmekaitsespetsialisti määramine (art. 37), vajaduse korral
🔗

Allikad ja jälgitavus

Iga õiguslik väide on viidatud, mitte mälu järgi väidetud.

  • GDPR konsolideeritud tekst (CELEX 32016R0679)
  • CNIL lehed ja nimekirjad (mõjuhinnang, register)
  • EAKN suunised (WP248 rev.01)
  • Dokumendis viidatud kontrollitavad URL-id
📄

Muudetav dokument

Üleandmine muudetavas formaadis, mida teie andmekaitsespetsialist või jurist saab uuesti kasutada.

  • Artikliga 35.7 vastavuses olev struktuur
  • Korduvkasutatav teie tulevaste töötlemistoimingute jaoks
  • Valmis täiendamiseks enne lõplikku kinnitamist
  • Ei mingit jäika kohustuslikku vormingut

Kasutatud viited

Metoodika, mis tugineb tekstidele ja ametiasutustele, mitte oma tõlgendustele

35

GDPR - artikkel 35

Andmekaitsealane mõjuhinnang. Määruse (EL) 2016/679 konsolideeritud tekst (EUR-Lex, CELEX 32016R0679).

EAKN

Suunised WP248 rev.01

EAKN (endine G29) 9 kõrge riski kriteeriumi, mida CNIL kasutab mõjuhinnangu kohustuse kindlakstegemise viitemetoodikana.

CNIL

CNIL nimekirjad ja metoodika (prantsuse amet)

Nimekirjad töötlemistoimingutest, mille puhul mõjuhinnang on nõutav või ei ole nõutav, ning CNIL metoodika mõjuhinnangu läbiviimiseks.

30

GDPR - artikkel 30

Töötlemistoimingute register: kooskõla alus (eesmärgid, andmed, tähtajad), millele iga mõjuhinnang tugineb.

Kohandatud mõjuhinnang, ilma varjatud hinnata

Ulatus sõltub töötlemistoimingute arvust, nende keerukusest ja sellest, mis on teil juba dokumenteeritud. Hinnapakkumine koostatakse pärast esimest vestlust.

Kohustuse kindlakstegemine

Te ei tea, kas teie töötlemistoiming on puudutatud

Hinnapakkumisel
olenevalt analüüsitavate töötlemistoimingute arvust
  • EAKN 9 kriteeriumi maatriks
  • Võrdlus artikliga 35.3
  • CNIL nimekirjade kontrollimine
  • Põhjendatud ja viidatud järeldus
Küsi pakkumist

Mitmeaastane programm

Mitu kõrge riskiga töötlemistoimingut, mis vajavad katmist

Hinnapakkumisel
olenevalt töötlemistoimingute arvust ja ülevaatuse sagedusest
  • Kõik Täielik mõjuhinnang +
  • Ühine metoodikaraamistik
  • Perioodiline ülevaatus (art. 35.11)
  • Kooskõla säilitamine registriga (art. 30)
Küsi pakkumist

Mõjuhinnang ei ole kunagi lõplik

GDPR artikkel 35.11 nõuab analüüsi ülevaatamist töötlemistoimingu olulise muutuse korral (uus volitatud töötleja, majutuse muutus, andmekogumise ulatuse laiendamine). Ülevaatuse hinnapakkumine koostatakse iga juhtumi kohta eraldi.

Korduma kippuvad küsimused

Kas minu töötlemistoiming tõesti vajab mõjuhinnangut?
See sõltub kolmest metoodiliselt kontrollitud elemendist: GDPR artikli 35.3 kolm juhtumit, EAKN 9 kriteeriumi maatriks (suunised WP248 rev.01, mida CNIL kasutab: niipea kui 2 kriteeriumi 9-st on täidetud, tuleb põhimõtteliselt läbi viia mõjuhinnang) ning CNIL nõutavate/mittenõutavate töötlemistoimingute nimekirjad. Üleantav dokument otsustab selle küsimuse ja põhjendab seda punkt-punktilt.
Mida täpselt üleantav dokument sisaldab?
Dokument, mis on struktureeritud GDPR artikli 35.7 järgi: töötlemistoimingu süstemaatiline kirjeldus (a), vajalikkuse ja proportsionaalsuse analüüs (b), puudutatud isikute riskide hindamine (c), kavandatud tehnilised ja korralduslikud meetmed (d), seejärel põhjendatud järeldus. Iga õiguslik viide on allikaga tõestatud (GDPR konsolideeritud tekst, CNIL, EAKN).
Aga kui minu töötlemistoiming ei kuulu lõpuks mõjuhinnangu kohustuse alla?
Dokument säilitatakse vabatahtlikkuse ja dokumenteerimise alusel: see on põhjendus teie otsusele mitte läbi viia ametlikku mõjuhinnangut, vastutuse põhimõtte alusel (GDPR art. 5.2), mida saab kasutada CNIL kontrolli korral.
Kas see dokument asendab minu advokaadi või DPO arvamust?
Ei. DPIA-Express on metoodiline tugivahend, mis struktureerib ja dokumenteerib analüüsi; see ei kujuta endast õigusnõustamist. Iga üleantav dokument loetleb selgelt punktid, mis jäävad teie juristi või andmekaitsespetsialisti kinnitada enne mis tahes siduvat kasutust.
Kes peab minu organisatsioonis mõjuhinnangu läbi viima?
Vastutav töötleja jääb mõjuhinnangu eest õiguslikult vastutavaks; andmekaitsespetsialisti, kui see on olemas, tuleb konsulteerida (GDPR art. 35.2). DPIA-Express valmistab materjali ette (kirjeldus, riskid, meetmed), et see konsultatsioon toimuks juba struktureeritud toimiku, mitte tühja lehe põhjal.
Miks pöörduda SYAGA poole, mitte teha seda täielikult ise?
SYAGA Consulting on tegutsenud alates 2009. aastast ja rakendab sama metoodikat oma töötlemistoimingutele, sealhulgas oma Microsoft 365 auditi tootele, mille mõjuhinnangu kohustuse analüüs järgib täpselt sama struktuuri. Me ei anna üle üldist mallikaupa: iga dokument on koostatud töötlemistoiming töötlemistoimingu haaval, artikkel artikli haaval.

Valmis oma mõjuhinnangut dokumenteerima?

Kirjeldage meile oma töötlemistoimingut, me võtame teiega ühendust personaalse hinnapakkumisega.

Õigusaktide jälgimine - ametlikud allikad

Mida tekst tegelikult ütleb, lihtsas keeles kokku võetud. Iga punkt säilitab lingi ametlikule dokumendile.

📋

Mis on mõjuhinnang, lihtsalt öeldes?

Mõjuhinnang on lihtsalt hindamistöö: vaadatakse riske, mida andmetöötlus isikutele kaasa toob, enne selle rakendamist. CNIL defineerib seda kui „formaalset protsessi isikuandmete töötlemisega seotud riskide hindamiseks". See ei ole veel üks haldusformaalsus, vaid terve mõistuse tööriist, mille GDPR teatud juhtudel kohustuslikuks muudab. Allikas: CNIL →

🎯

Keda see tegelikult puudutab: reegel „2 kriteeriumi 9-st"

Ei pea olema suur ettevõte, et olla puudutatud. CNIL leiab, et mõjuhinnang on kohustuslik niipea, kui töötlemistoiming vastab vähemalt kahele neist üheksast olukorrast: isikute hindamine või skoorimine, automatiseeritud otsuse tegemine, millel on neile reaalne mõju, süstemaatiline jälgimine, tundlike andmete (tervis, päritolu jne) kogumine, suuremahuline kogumine, mitme andmebaasi ristamine, haavatavate isikute (töötajad, patsiendid, alaealised...) sihtimine, uue tehnoloogia kasutamine või kellegi õiguse või teenuse kasutamise takistamine. Allikas: CNIL →

Kaks CNIL nimekirja, mis sageli vastavad teie eest

Et vältida oletamist, on CNIL avaldanud kaks ametlikku nimekirja: nimekirja 14 töötlemistoimingu tüübist, kus mõjuhinnang on kohustuslik (terviseandmed, personali profileerimine, töötajate jälgimine, suuremahuline asukohapõhine jälgimine...), ning nimekirja 12 tüübist, kus see ei ole nõutav (palgaarvestus ja personalihaldus alla 250 töötajaga ettevõtetes ilma profileerimiseta, tarnijate haldus, üksiku tervishoiutöötaja patsiendifail...). Need nimekirjad ei kata kõiki juhtumeid, kuid vastavad juba paljudele levinud olukordadele. Allikas: CNIL nõutavate töötlemistoimingute nimekiri →

🧩

Mida analüüs tegelikult peab sisaldama

GDPR (artikkel 35) ei nõua romaani, vaid nelja täpset osa: kirjeldada töötlemistoimingut ja selle eesmärki, kontrollida, kas see on tõesti vajalik ja proportsionaalne, hinnata puudutatud isikute riske, seejärel loetleda kavandatud meetmed nende riskide vähendamiseks. Selge järeldus lõpus: kas töötlemistoiming on vastuvõetav ja millistel tingimustel. Allikas: GDPR, artikkel 35 →

👤

Teie andmekaitsespetsialisti roll (kui teil on selline)

Kui teie organisatsioon on määranud andmekaitsespetsialisti, nõuab GDPR temalt nõu küsimist mõjuhinnangu läbiviimisel ja tema ülesandeks tehakse kontrollida, et analüüs on nõuetekohaselt läbi viidud. See on kaitsemehhanism, mitte linnukest tegemiseks: andmekaitsespetsialist jääb õigeks refleksiks enne järelduse kinnitamist. Allikas: GDPR, artiklid 35 ja 39 →

Ja kui risk jääb pärast analüüsi kõrgeks?

Kui vaatamata kavandatud meetmetele kujutab töötlemistoiming endiselt isikutele kõrget riski, nõuab GDPR CNIL-iga konsulteerimist enne alustamist. Sellel on siis kaheksa nädalat aega kirjaliku arvamuse andmiseks (pikendatav kuue nädala võrra, kui toimik on keeruline). Rahustav teadmine: see juhtum jääb erandiks, mitte reegliks. Allikas: GDPR, artikkel 36 →

💰

Sanktsioonid, ilma dramaatikata

CNIL tuletab meelde, et GDPR trahvid võivad ulatuda kuni 10 miljoni euroni või 2%-ni aastasest ülemaailmsest käibest, olenevalt sellest, kumb on suurem. See on seaduslik ülempiir, mitte paratamatus: hästi läbi viidud mõjuhinnang on just see, mis võimaldab kontrolli korral näidata, et küsimust on tõsiselt võetud. Allikas: CNIL →

📢

Euroopa uudis, mida jälgida

Euroopa Andmekaitsenõukogu (EAKN/EDPB) korraldas 14. aprillist 9. juunini 2026 avaliku konsultatsiooni ühtse mõjuhinnangu mudeli eelnõu kohta, mille eesmärk on ühtlustada tavasid Euroopa riikide vahel. Konsultatsioon on nüüd suletud; me jälgime selle projekti edasist käiku, et sellest õigel ajal oma kliente teavitada. Allikas: EDPB →